威脅和保護矩陣或 (TaSM) 是一種面向行動的視圖,用於保護和支持Ross Young創建的業務。簡而言之,如果 Cyber 從事收入保護業務,那麼我們需要制定縱深防禦計劃,以應對我們公司面臨的最大威脅。該矩陣允許公司使用 NIST 網絡安全功能(識別、保護、檢測、響應和恢復)覆蓋其主要威脅,以構建強大的安全計劃。執行此活動的組織將更好地了解如何保護他們的公司,因為他們填寫了減輕重要威脅的保護措施。記住魔鬼在細節中,因此我們選擇了塔斯馬尼亞魔鬼作為項目標誌。
示例:如果您縱觀信息安全行業,您會注意到針對公司的最大數據洩露通常涉及網絡釣魚、勒索軟體、Web 應用程式攻擊和供應商/合作夥伴數據丟失。請注意,您可以將其他人添加到矩陣中,例如內部威脅或您的環境獨有的任何內容。
以下是您可以制定縱深防禦計劃以減輕公司這些威脅的一種方法。
現在您已經構建了您的 TaSM,重要的是查看您列出的保護措施。並非每項保障措施都同樣重要。如果一切都很重要,那麼沒有什麼是真正重要的。想一想您作為一個組織要關注的保障措施。這些可能是阻止威脅最有效的方法。這些保護措施也可能是您最有機會改進的地方。選擇一些可以放置關鍵指標的保護措施,並通過添加一個紅框來突出顯示它們。這將允許您將進度從您的指標映射到您的 TaSM。記住什麼得到衡量就完成了,完成了什麼得到了資助。
在概述您想要改進的保障措施之後,您的組織應該創建一些關鍵指標和記分卡。這個例子有一些需要注意的地方,但可以隨意修改。1) 按技術、人員和流程對事物進行分組,以展示如何利用組織的多個領域。2)按季度顯示進度。如果新季度有所改善,則將進度標記為綠色,如果下降,則將其標記為紅色,如果沒有取得進展,則將其標記為黃色。3) 目標有多種形狀和大小,應不時重新評估。目標可能是理想的,例如 0 漏洞。雖然 100% 的客戶滿意度或 0 漏洞等理想目標可能無法實現,但它們顯示了組織想要的趨勢。最後,使用您的記分卡講述一個可以與執行領導團隊分享的故事。請注意,這個故事是虛構的,並不反映真實的公司。
示例:此記分卡標識 XYZ 組織的風險狀況。如您所見,我們顯示我們的大多數伺服器大約有 9 個高危漏洞。雖然這些漏洞數量高於預期,但我們觀察到修補通常平均在 15 天內完成。我們現在對我們的修補程序感到很舒服。我們要強調的一個領域是,只有 50% 的軟體團隊計劃在即將到來的衝刺計劃會議期間解決軟體缺陷和漏洞。我們認為這個指標可以在下個季度得到改善,以降低我們的整體風險狀況。我們將採取 XYZ 行動來幫助改進這一指標。最後,我們想指出並非所有應用程式的關鍵程度都相同;這就是我們高度關注勒索軟體防禦的原因。今天,我們注意到我們 100% 的應用程式都可以執行災難恢復練習,但是我們的 SOX 報告中列出的具有重要財務意義的應用程式沒有隻讀備份。我們認為這是一個值得關注的關鍵領域,並將在年底前專注於 100% 的合規性。我們還將專注於 XYZ 計劃以……
當我們尋找在組織中應用 TaSM 的其他方法時,可以利用 TaSM 的一種方法是在威脅模型中。示例:開發人員團隊可以將顯示關鍵屬性(例如(加密層、訪問控制方法和數據類型))的數據流圖與 TaSM 結合使用,以確定項目中的關鍵問題。由於架構審查委員會看到在威脅模型討論期間使用了大量 TaSM,架構師可能會確定需要企業解決方案的常見威脅或保護措施。
由於網絡威脅不是唯一的威脅類型,我們還應該研究如何在風險委員會中更廣泛地採用 TaSM。所需要的只是一個額外的列來列出公司內的組織。想像一下,如果每個組織都分享他們的前 3-5 個威脅。您的風險委員會可以展示公司如何以一致、充分、合理和有效的方式減輕其最大威脅。此外,它還允許委員會合作以從多個角度解決威脅。示例:網絡如何利用人力資源和法律流程來幫助應對造成品牌損害的網絡釣魚攻擊。
這些條款是什麼意思?為確保正確使用 TaSM,請務必了解矩陣中使用的術語的定義
威脅CNSS 將威脅定義為可能對組織運營產生不利影響的任何事件。可在此處找到常見威脅類型的示例STRIDE-LM
NIST 函數5 個 NIST 網絡安全框架功能允許您創建縱深防禦策略,以確定您將如何保護業務。
1) 識別 識別功能有助於形成對管理系統、人員、資產、數據和能力風險的組織理解。關鍵目標:確定所有容易受到此類威脅的人員、流程或系統。
2) 保護 保護功能支持限制或遏制威脅影響的能力。關鍵目標:如何通過消除或阻止漏洞來限制攻擊的威脅
3) 檢測 檢測功能定義活動以及時識別事件的發生。關鍵目標:如果您無法阻止威脅(即保護階段),您怎麼知道它正在發生,並且您的公司正在遭受傷害
4) 響應 響應功能包括與事件相關的適當活動,以儘量減少影響。關鍵目標:如果威脅已經實現,您如何防止額外的經濟損失、聲譽損失、不合規或侵犯隱私
5) 恢復 恢復功能包括確定適當的活動以維持彈性計劃並恢復在網絡安全事件期間受損的服務。關鍵目標:您如何達到與事件發生前相同或更好的狀態
保障措施保護措施是減少信息系統脆弱性的措施、設備、程序、技術或其他措施。與安全控制和對策同義。隨意使用這些列表作為起點:
消息連結:
https://owasp.org/www-project-threat-and-safeguard-matrix/